1、（强烈推荐）将邮箱密码设定为高强度密码，即大写字母+小写字母+数字+特殊符号，10-16位 （包含普通帐户、管理员），10位以上的密码。(不要使用123456等弱密码)；

2、（强烈推荐）开启二次验证，如确实无法全域开启，那么建议要求企业内涉及机要及出纳人员开启登陆二次认证，并启用客户端专用密码 。路径：设置中心-【安全登录二次验证】

3、定期对使用的机器进行全面杀毒；

4、不要在WEB页面上保留邮箱的密码；

5、定期在自助查询中查看登陆时间及IP，确认邮箱未被外部人员登陆；在webmail，点击"自助查询"-"登陆查询"看看有没有异常ip成功登录过邮箱的记录；查询自己的公网IP，可以登录 www.ip138.com，自动帮您检测。

6、如有需要，管理员可以开通IP登录限制。登录webadmin，安全管理--【IP登录限制】

7、密码过期功能，定期修改密码。登录webmail，安全管理--【密码策略】--【密码有效期】；

8、设置组织密码高强度，登录webadmin，安全管理--【密码策略】--【密码复杂度要求】；

9、所有涉密机要及付款的邮件，均建议通过其它渠道二次确认相关邮件内信息，建议涉密信息、付款信息均使用加密附件方式发送，解密方式由其它渠道提供。

10、文件夹加密：用户可以对重要的文件夹进行二次密码加密，避免黑客直接查看邮件内容。

11、如有使用客户端(如outlook\foxmail等)，可登录网页邮箱在设置中心--【账号信息】，开启客户端专用密码，专用密码是自动生成，密码强度默认高。

12、建议避免使用工作邮箱注册第三方网站，同时邮箱密码应避免使用生活中常用的密码。

邮件系统使用五不要！

1、不要轻信发件人地址中显示的“显示名”。因为显示名实际上是可以任意设置的，要注意阅读发件邮箱全称。
2、不要轻易点开陌生邮件中的链接。正文中如果有链接地址，切忌直接打开，大量的钓鱼邮件使用短链接（例如http://t.cn/zwu7f71)或带链接的文字来迷惑用户；如果收到的邮件是邮箱升级、邮箱停用等办公信息通知类邮件，在点开链接前，确认发信人是否真实有效；此外需对链接中的网址进行辨别，如果不是，则可能为钓鱼邮件。
3、不要放松对“熟人”邮件的警惕。攻击者常常会利用攻陷的组织内成员邮箱发送钓鱼邮件，如果收到了来自信任的朋友或者同事的邮件，你对邮件内容表示怀疑，可通过其他方式向其核实确认，如拨打电话、即时工具（微信、企信、qq等）询问；
4、不要使用公共场所的网络设备执行敏感操作。不要使用公共场所的电脑登入电子信箱、使用即时通信软件、网上银行或进行其他涉及敏感资料的操作。在无法确定其安全性的前提下，请不要在连接Ｗｉ－Ｆｉ后进行登录和收发邮件，慎防免费无线网络因疏于管理被别有用心人士使用数据截留监侦手段获取用户信息。不要在WEB页面上保留邮箱的密码。
5、不要将敏感信息发布到互联网上，用户发布到互联网上的信息和数据会被攻击者收集。避免攻击者可以通过分析这些信息和数据，有针对性地向发送钓鱼邮件。

1.个人设置--个人信息--邮箱密码，移除或更换所有客户端专用密码，防止被反复盗号；
2.个人设置--收发信设置--自动转发，自动转发是否有开启，是否有非本人设置的自动转发；
3.个人设置--邮件分类，查看是否有非本人设置的来信分类；
4.个人设置--安全设置--黑名单，是否有将认识的联系人添加到黑名单。